ISO 27001 und Security Awareness — Wie Training Ihre Zertifizierung unterstützt

April 2026

ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme. Für viele Unternehmen im DACH-Raum — besonders im B2B-Bereich — ist eine ISO-27001-Zertifizierung eine Voraussetzung für Geschäftsbeziehungen.

Security Awareness Training ist dabei kein optionales Extra. Es ist eine explizite Anforderung des Standards — und eine der Stellen, an denen Auditoren besonders genau hinschauen.

Was ISO 27001 zu Awareness und Schulung sagt

Der Standard adressiert das Thema an mehreren Stellen. Annex A, Control 6.3 verlangt, dass alle Mitarbeitenden ein angemessenes Bewusstsein für Informationssicherheit entwickeln und regelmäßig geschult werden. Die Schulungen müssen auf die Rolle und die Tätigkeiten der jeweiligen Person abgestimmt sein.

Darüber hinaus fordert Abschnitt 7.2 (Kompetenz), dass die Organisation sicherstellt, dass Personen, die unter ihrer Kontrolle arbeiten, kompetent sind — und zwar auf Basis von Ausbildung, Schulung oder Erfahrung. Die Organisation muss Nachweise über diese Kompetenz aufbewahren.

Was Auditoren bei ISO 27001 konkret prüfen

In der Praxis prüfen Auditoren drei Dinge im Bereich Awareness.

Erstens: Gibt es ein definiertes Schulungsprogramm? Das bedeutet: Es existiert ein Plan, der festlegt, wer wann zu welchen Themen geschult wird. „Wir machen das bei Bedarf" ist kein Programm.

Zweitens: Gibt es dokumentierte Nachweise pro Mitarbeiter? Auditoren wollen Zertifikate, Teilnahmebestätigungen oder Systemnachweise sehen — idealerweise mit Datum, Thema und Ergebnis.

Drittens: Gibt es Hinweise auf Wirksamkeit? Die Teilnahme allein reicht nicht — der Auditor will sehen, dass die Schulung einen Effekt hat. Hier kommen Quiz-Ergebnisse, Assessment-Scores und vor allem Phishing-Simulationsergebnisse ins Spiel.

Phishing-Simulationen als Wirksamkeitsnachweis

Phishing-Simulationen sind für die ISO-27001-Dokumentation besonders wertvoll, weil sie die Brücke zwischen Wissen und Verhalten schlagen.

Eine sinkende Phishing-Klickrate über Zeit ist der stärkste Beweis dafür, dass das Awareness-Programm funktioniert. Ein Benchmark-Report, der zeigt, dass die Klickrate von 25 Prozent auf 8 Prozent gesunken ist, beantwortet die Frage „Wirkt Ihr Schulungsprogramm?" überzeugender als jedes Zertifikat.

Zusätzlich zeigt die Melderate — also wie viele Mitarbeitende verdächtige E-Mails aktiv melden — ob die Organisation eine Sicherheitskultur entwickelt hat. Für ISO 27001 ist das ein starkes Signal.

SCORM-Integration — Training im eigenen LMS dokumentieren

Viele Unternehmen mit ISO-27001-Zertifizierung nutzen bereits ein Learning Management System für andere Pflichtschulungen. Ein SCORM 1.2 Paket integriert das Security Awareness Training nahtlos in dieses bestehende System.

Das LMS übernimmt das Tracking und meldet Completion Status, Score und Dauer. Die Schulungsnachweise werden automatisch Teil der bestehenden Dokumentation — kein separater Prozess, kein zusätzlicher Aufwand für HR oder IT.

Checkliste für ISO-27001-Auditoren

Nutzen Sie diese Checkliste, um Ihre Audit-Vorbereitung im Bereich Awareness zu prüfen: Existiert ein dokumentiertes Schulungsprogramm mit definierten Inhalten und Intervallen? Sind individuelle Schulungsnachweise für alle Mitarbeitenden verfügbar? Werden Schulungen mindestens jährlich wiederholt? Gibt es eine Form der Lernzielüberprüfung (Quiz, Assessment)? Gibt es Wirksamkeitsnachweise (z.B. Phishing-Simulationsergebnisse)? Werden neue Mitarbeitende innerhalb einer definierten Frist geschult? Ist die Geschäftsleitung in das Awareness-Programm eingebunden?